米国各州のプライバシー規制当局は、2025年に企業からプライバシー関連の罰金として34億2,500万ドルを徴収した。ガートナーは、この上昇トレンドが2028年を通じて加速すると予想している。2024年の年間累積罰金は18億2,700万ドルであり、2025年の結果は前年比でほぼ2倍となっている。
ガートナーは、州および連邦プライバシー法に関連する執行措置と法定私人請求権を集計・集約することでこの推定値を算出した。
州レベルの執行の転機
プライバシー規制当局は、意識啓発から直接的な罰則活動へ移行している。「米国全体のプライバシー法が十分に機能するようになったため、ガートナーは新しい義務を導入する新しい修正案のトレンドを見始めている。これらの新しい義務は、主に自動意思決定技術に焦点を当てている」と述べたガートナーのVPアナリスト、ナデル・ハネインは述べた。「規制当局はまた、意識啓発から本格的な執行へ努力をシフトさせている。これは2026年以降ますます標準になりつつある。」
このシフトは、消費者プライバシー法を持つ米国の州の数の継続的な増加と一致している。22州は主に消費者プライバシー権を目的とするプライバシー法を可決し、米国人口の半分以上をカバーしている。さらに24州が同様の法案を提案しており、今後5年間でそれを可決することが予想されている。カンザス州、アイダホ州、サウスダコタ州、ワイオミング州はこのトレンドの外側にあり、子どもデータや遺伝情報などの領域をカバーするより狭い措置に焦点を当てている。
ハネインは、州ごとのパターンが2003年7月にカリフォルニア州から始まり、2018年3月にアラバマ州を50番目の州として広がったデータ流出通知法の以前の展開に似ていると述べた。
AIと自動化された意思決定が新しい修正案を推進している
個人データはAIモデルトレーニングと推論の中心に移動し、州の規制当局は自動意思決定技術に対処するためにプライバシーフレームワークを改訂しており、州AI統治法のパッチワークと並行している。世界のデータの多くが米国登録企業にあるため、米国プライバシー法は米国居住者をはるかに超えたデータ保護レベルに影響を与える。
執行強度は規制当局の活動と連動している
今月発表された独立した研究は、州レベルの合計が増加している理由を説明するのに役立つパターンを強化している。10の管轄区域にわたるウェブトラッキングの測定研究は、プライバシー法が規制当局が訴訟を起こす場所で結果を生み出し、そうでない場所ではるかに少ない結果を生み出すことを発見した。EU規制当局は、有効な法的根拠なしでデータを処理するために、合計30億1,000万ユーロの833件の罰金を発行している。ドイツとスペインは高い執行管轄区域として分類され、カリフォルニア州、カナダ、オーストラリア、韓国は個別の高注目事件に大きく依存する中程度のレベルの活動としてグループ化された。
同じ研究はカリフォルニア州の最近の執行措置を文書化している。カリフォルニア州司法長官はオプトアウト信号に従わないことでディズニーと275万ドルで和解し、カリフォルニア州プライバシー保護局はPlayOn SportsとFordに対して訴訟を起こしている。これらのケースはガートナーの州執行が継続的な罰則段階に移行したという見解と一致している。
分析はまた、広告トラッカーがウェブ上に記録されたトラッキング接続のおおよそ3分の2を占めており、同意管理が少数のプラットフォームの周りに統合されていることを発見した。最近のカリフォルニア州のケースはこのレイヤーの運用上の失敗、特に消費者のオプトアウト信号を尊重しない失敗に焦点を当てている。
CISOとプライバシーリーダーへの推奨事項
ガートナーはCISOとプライバシープログラムを担当するリーダーの2つの優先事項を推奨している。最初は既存プログラムの重大なレビューである。米国のみで運営している多くの組織は、2020年にプライバシープログラムを構築し、その後の年で萎縮させ、現在の執行環境に対して悪い位置に置かれている。プログラムは、継続的に適切で防御可能なコンプライアンスを提供するかどうかを確認するために再評価する必要がある。
2番目の優先事項はプライバシーユーザー体験である。ほとんどの罰金と違反は、組織が主体権、同意、プライバシー通知を処理する方法の欠点に遡る。これらの領域の改善は、規制当局が見つけて罰する可能性が最も高い運用上のギャップに対処する。
翻訳元: https://www.helpnetsecurity.com/2026/04/28/us-state-privacy-fines-2025/
